แฮกเกอร์รัฐรัสเซีย-จีน-เกาหลีเหนือ แทรกซึมซอฟต์แวร์โอเพ่นซอร์สระดับโลก เสี่ยงกระทบระบบความมั่นคงไซเบอร์

กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ รัสเซีย จีน และเกาหลีเหนือ กำลังเจาะระบบซอฟต์แวร์โอเพ่นซอร์สที่ขับเคลื่อนแอปพลิเคชันกว่า 90% ในปัจจุบัน ตามรายงานล่าสุดของ Strider Technologies บริษัทวิเคราะห์ข่าวกรองชั้นนำ เผยว่าชาติปฏิปักษ์เหล่านี้กำลังใช้แพลตฟอร์มเช่น GitHub ในการฝังโค้ดอันตรายลงไปในซอฟต์แวร์โอเพ่นซอร์สยอดนิยม ซึ่งสร้างความเสี่ยงทางไซเบอร์ในอุตสาหกรรมและรัฐบาลทั่วโลก

จากการวิเคราะห์ของ Strider พบว่ามีผู้ร่วมพัฒนาซอฟต์แวร์ซึ่งเกี่ยวข้องโดยตรงกับองค์กรในรัสเซียและจีน ซึ่งอยู่ภายใต้การคว่ำบาตรของสหรัฐฯ มีการมีส่วนร่วมกับโครงการโอเพ่นซอร์สสำคัญ ๆ กว่า 21% ของผู้พัฒนาในโครงการ openvino-genai ซึ่งเป็นชุดเครื่องมือ AI ที่ถูกดาวน์โหลดไปใช้งานมากกว่าล้านครั้ง ถูกระบุว่าเป็นภัยด้านความมั่นคงของชาติ มี 2 รายเกี่ยวข้องกับบริษัท MFI Soft และ Positive Technologies ที่ถูกรัฐบาลสหรัฐฯ คว่ำบาตรในข้อหาสนับสนุนหน่วยข่าวกรองและปฏิบัติการไซเบอร์

ยุทธวิธีแทรกซึมอย่างซับซ้อนและต่อเนื่องยาวนาน

รายงานชี้ให้เห็นถึงกลุ่ม Advanced Persistent Threat (APT) เช่น APT41 จากจีน, Cozy Bear จากรัสเซีย และ Lazarus Group จากเกาหลีเหนือ ที่ใช้กลยุทธ์ระยะยาวในการสร้างความน่าเชื่อถือในชุมชนโอเพ่นซอร์ส “บางคนใช้เวลาหลายปีเพื่อสร้างชื่อเสียงที่ดี ก่อนจะฝังโค้ดอันตรายลงไป” Paige Waltz ผู้อำนวยการฝ่ายสื่อสารระดับโลกของ Strider กล่าว โดยผู้โจมตีอาจมีการส่งโค้ดมากถึง 40-50 ครั้ง ก่อนจะแฝงBackdoorครั้งสำคัญ ทำให้จับผิดได้ยากมาก

กลุ่ม Lazarus ของเกาหลีเหนือเพิ่มความถี่ในการโจมตีโดย Sonatype ตรวจพบแพคเกจอันตราย 234 รายการที่เกี่ยวข้องกับกลุ่มนี้ในช่วงครึ่งปีแรกของ 2025 ซึ่งอาจส่งผลกระทบต่อนักพัฒนากว่า 36,000 รายทั่วโลก ปฏิบัติการ Operation Marstech Mayhem แสดงให้เห็นรูปแบบการโจมตีที่ซับซ้อน โดยใช้ GitHub ปลอมเผยแพร่มัลแวร์ “Marstech1” ที่มุ่งเป้าขโมยกระเป๋าเงินคริปโตและข้อมูลรับรอง

ความเสียหายระดับพันล้านจากเหตุการณ์ในอดีต

ช่องโหว่ในซอฟต์แวร์โอเพ่นซอร์สสร้างความเสียหายอย่างหนัก ตัวอย่างเช่น เหตุโจมตี Log4Shell ในปี 2021 ซึ่งเกี่ยวข้องกับกลุ่มจากจีน เกาหลีเหนือ อิหร่าน และตุรกี มีค่าใช้จ่ายเฉลี่ยต่อองค์กรสูงถึง 90,000 ดอลลาร์ต่อการรับมือแต่ละครั้ง และแม้จะผ่านไปเกือบ 2 ปี 72% ขององค์กรที่ได้รับผลกระทบยังรายงานว่ามีการโจมตีอยู่ต่อเนื่อง

เหตุการณ์ล่าสุด เช่น ความพยายามฝัง backdoor ใน XZ Utils เมื่อกุมภาพันธ์ 2024 แสดงถึงระดับการซ่อนตัวที่แนบเนียน โดยผู้โจมตีใช้นามแฝง “Jia Tan” สร้างตัวตนและความน่าเชื่อถือในชุมชน Linux มาหลายปีก่อนลงมือ

“ประเทศอย่างจีนและรัสเซียใช้ช่องว่างในระบบโอเพ่นซอร์สให้เป็นประโยชน์” Greg Levesque CEO ของ Strider Technologies กล่าว “บุคคลเหล่านี้เฝ้ารอโอกาส สร้างความน่าเชื่อถือต่อชุมชน เพื่อแทรกโค้ดอันตรายที่อาจสร้างผลกระทบเป็นวงกว้าง สร้างความเสียหายอย่างมหาศาลในระบบของเรา”